重名的风险!GitHub上数百万个存储库可能被劫持
原文中文,约900字,阅读约需2分钟。发表于:。新的研究显示,许多企业在重命名项目时,不知不觉地将其代码库的用户暴露在重载劫持之下。
一项新研究发现,企业在重命名项目时可能会暴露其代码库的用户于重载劫持之下。攻击者可以通过重定向存储库来劫持GitHub上的企业软件存储库。这个问题与GitHub处理依赖关系的方式有关,当用户或组织更改项目名称或所有权时容易受到重新劫持。为了避免破坏代码的依赖性,GitHub在原repo名称和新名称之间建立了链接,但如果组织未能保护旧的用户名,攻击者可以重新使用它来创建木马版本。Aqua发现了两个问题:一是GitHub上有数百万个这样的软件库,二是攻击者很容易找到这些软件库以及劫持它们的工具。组织应认领并保留旧用户名,同时通过扫描代码和存储库来减轻劫持威胁。
